Informazioni sui segreti di Azure Key Vault

  • Articolo

Key Vault offre l'archiviazione sicura dei segreti generici, ad esempio password e stringhe di connessione di database.

Dal punto di vista di uno sviluppatore, le API di Key Vault accettano e restituiscono i valori dei segreti sotto forma di stringhe. Internamente, Key Vault archivia e gestisce i segreti come sequenze di ottetti (byte a 8 bit), con dimensioni massime di 25 KB ciascuno. Il servizio Key Vault non fornisce la semantica per i segreti. Accetta semplicemente i dati, li crittografa, li archivia e restituisce un identificatore di segreto (id). L'identificatore può essere usato per recuperare il segreto in un secondo momento.

Per i dati altamente sensibili è opportuno prendere in considerazione livelli di protezione aggiuntivi. ad esempio la crittografia dei dati con una chiave di protezione separata prima dell'archiviazione in Key Vault.

Key Vault supporta anche un campo contentType per i segreti. I client possono specificare il tipo di contenuto di un segreto per facilitare l'interpretazione dei dati del segreto quando vengono recuperati. La lunghezza massima di questo campo è di 255 caratteri. L'utilizzo consigliato è un suggerimento per l'interpretazione dei dati del segreto. Un'implementazione può ad esempio archiviare sia le password che i certificati come segreti e quindi questo campo può consentire la distinzione tra i due tipi di dati. Non ci sono valori predefiniti.

Crittografia

Tutti i segreti in Key Vault vengono archiviati crittografati. Key Vault crittografa i segreti inattivi con una gerarchia di chiavi di crittografia e tutte le chiavi in tale gerarchia sono protette da moduli conformi a FIPS 140-2. Questa crittografia è trasparente e non richiede alcuna azione da parte dell'utente. Il servizio Azure Key Vault crittografa i segreti quando vengono aggiunti e li decrittografa automaticamente quando vengono letti.

La chiave foglia di crittografia della gerarchia di chiavi è univoca per ogni insieme di credenziali delle chiavi. La chiave radice di crittografia della gerarchia di chiavi è univoca per l'ambiente di sicurezza e il relativo livello di protezione varia a seconda delle aree:

  • Cina: la chiave radice è protetta da un modulo convalidato in base a FIPS 140-2 livello 1.
  • Altre aree: la chiave radice è protetta da un modulo convalidato in base a FIPS 140-2 livello 2 o superiore.

Attributi segreti

Oltre ai dati dei segreti,è possibile specificare gli attributi seguenti:

  • exp: IntDate, facoltativo, il valore predefinito è forever. L’attributo exp (ora di scadenza) identifica l'ora di scadenza in cui o successiva alla quale i dati dei segreti NON DEVONO essere recuperati, tranne che in situazioni particolari. Il campo è a solo scopo informativo e informa gli utenti del servizio di insieme di credenziali delle chiavi che non è possibile usare un segreto specifico. Il valore DEVE essere un numero contenente un valore IntDate.
  • nbf: IntDate, facoltativo, il valore predefinito è now. L’attributo nbf (non precedente) identifica l'ora precedente alla quale i dati dei segreti NON DEVONO essere recuperati, tranne che in situazioni particolari. Questo documento è esclusivamente a scopo informativo. Il valore DEVE essere un numero contenente un valore IntDate.
  • enabled boolean, facoltativo, il valore predefinito è true. Questo attributo specifica se i dati dei segreti possono essere recuperati. L'attributo abilitato viene usato con nbf ed exp quando si verifica un'operazione tra nbf ed exp, sarà consentito solo se Abilitato è impostato su true. Le operazioni all'esterno della finestra nbf ed exp non sono impostate automaticamente non consentiti, ad eccezione di situazioni particolari.

Sono disponibili altri attributi di sola lettura inclusi in una risposta che include gli attributi dei segreti:

  • created: IntDate, facoltativo. L’attributo creato indica quando è stata creata questa versione del segreto. Questo valore è null per i segreti creati prima dell'aggiunta di questo attributo. Il valore deve essere un numero contenente un valore IntDate.
  • updated: IntDate, facoltativo. L’attributo aggiornato indica quando è stata aggiornata questa versione del segreto. Questo valore è null peri segreti aggiornati prima dell'aggiunta di questo attributo. Il valore deve essere un numero contenente un valore IntDate.

Per informazioni sugli attributi comuni per ogni tipo di oggetto dell'insieme di credenziali delle chiavi, vedere Panoramica di chiavi, segreti e certificati di Azure Key Vault

Operazioni controllate in base a data e ora

L’operazione ottieni di un segreto funzionerà per i segreti non ancora validi e scaduti, all'esterno della finestra nbf / exp. La chiamata dell’operazione ottieni di un segreto, per una chiave privata non ancora valida, può essere utilizzata per scopi di test. Il recupero (get) di un segreto scaduto può essere usato per le operazioni di ripristino.

Controllo di accesso per i segreti

Il controllo di accesso per i segreti gestiti in Key Vault viene fornito al livello dell'insieme di credenziali delle chiavi che contiene tali segreti. I criteri di controllo di accesso per i segreti sono distinti dai criteri di controllo di accesso per le chiavi presenti nello stesso insieme di credenziali delle chiavi. Gli utenti possono creare uno o più insiemi di credenziali per i segreti e sono tenuti a mantenere una segmentazione e una gestione dei segreti appropriate in base allo scenario.

Le autorizzazioni seguenti sono utilizzabili, su base principale, nella voce di controllo di accesso dei segreti in un insieme di credenziali e riflettono fedelmente le operazioni consentite su un oggetto segreto:

  • Autorizzazioni per le operazioni di gestione dei segreti

    • get: esegue la lettura di un segreto
    • list: elenca i segreti o le versioni di un segreto archiviato in un insieme di credenziali delle chiavi
    • set: crea un segreto
    • delete: elimina un segreto
    • recover: recupera un segreto eliminato
    • backup: esegue il backup di un segreto in un insieme di credenziali delle chiavi
    • restore: consente di ripristinare un segreto sottoposto a backup in un insieme di credenziali delle chiavi

  • Autorizzazioni per le operazioni con privilegi

    • purge: consente di ripulire (eliminare definitivamente) un segreto eliminato

Per altre informazioni sull'uso dei segreti, vedere le operazioni relative ai segreti nell'articolo di riferimento all'API REST di Key Vault. Per informazioni sulla definizione delle autorizzazioni, vedere Vaults - Create or Update (Insiemi di credenziali - Create o Update) e Vaults - Update Access Policy (Insiemi di credenziali - Update Access Policy).

Guide pratiche per il controllo dell'accesso in Key Vault:

Tag dei segreti

È possibile specificare metadati aggiuntivi specifici dell'applicazione sotto forma di tag. Key Vault supporta fino a 15 tag, ognuno dei quali può avere un nome di 512 caratteri e un valore di 512 caratteri.

Nota

Un chiamante può leggere i tag se ha l'autorizzazione list o get.

Scenari di utilizzo

Quando utilizzare Esempi
Archiviare in modo sicuro, gestire il ciclo di vita e monitorare le credenziali per la comunicazione da servizio a servizio, ad esempio password, chiavi di accesso, segreti client dell'entità servizio. - Usare Azure Key Vault con una macchina virtuale
- Usare Azure Key Vault con un'app Web di Azure

Passaggi successivi